再一次被入侵之潜伏的挖矿病毒

今天是11月10号，正在忙着做双十一凌晨流量冲击的加固工作，登录xx服务器的时候无意间发现CPU的使用率达到了70%，按常理分析，xx服务器资源不会使用这么高的，ps 排序一下进程资源使用，如下图：

在这里插入图片描述

果然，有一个高负载的进程“-sh”，占用CPU达到了599%， 据经验分析，这绝逼又是一个病毒程序，一想到这整个人都兴奋起来了，当即着手查一下；

• 查监控历史

在这里插入图片描述

监控的阈值设置的90%，70%一直没触发报警

• 查进程监听的端口： netstat -anp|grep 28622

在这里插入图片描述

监听的35426端口向外通信

• 查连接地址 通过35426端口，与这个美国的IP通信，端口80，肯定是网页，用浏览器打开瞜一眼

在这里插入图片描述

果然是个挖矿的网站，那这个程序就是挖矿病毒了，不多说了，准备清理。

• 查启动方式 crontab -l

在这里插入图片描述

这里有一条every moment计划任务

• 查文件路径 文件路径在定时任务中就很明显了

在这里插入图片描述

• 查日志 通过日志可以看出是几个美国的IP，不断尝试登录，进行root密码猜解，在10月29号爆破成功。
• 检查到此为止，开始处理挖矿病毒

1. 先限制远程登录 以免处理进程时黑客再次登录直接破坏我的系统，

1） 禁用root远程登录：修改/etc/ssh/sshd_config 修改PermitRootLogin yes 为 no ； 2） 新建普通用户—加强普通用户密码复杂度—更改root用户密码复杂度； 3） 限制用户登录密码错误次数 /etc/pam.d/login 第一行添加auth required pam_tally2.so deny=3 unlock_time=5 even_deny_root root_unlock_time=10

1. 删除计划任务 删除crontab中的计划任务
2. 杀进程 kill -9 28622
3. 删文件 删除计划任务中指定的目录

在这里插入图片描述

1. 再检查一下进程

在这里插入图片描述

没有再出现高负载进程，暂时先收工。

总结：这次被入侵主要是远程登录没有做策略，被轻易破解root密码； 当然该黑客把CPU的资源使用把握的恰到好处，使CPU资源一直稳定在70%的状态挖矿，一般的挖矿病毒会完全占用CPU资源，监控立刻就会报警，这次如果没有全面显示监控，根本不会察觉，将会一直潜伏着。。。 看来需要优化一下监控报警策略。